2025年信息安全工程师认证考试试卷及答案

2025年信息安全工程师认证考试试卷及答案一、单项选择题（共20题，每题1分，共20分。每题只有一个正确选项）1.以下关于对称加密算法的描述中，错误的是：A.AES256的密钥长度为256位B.DES的有效密钥长度为56位C.3DES通过三次DES加密实现更高安全性D.RC4是一种流加密算法，常用于WPA2协议2.某企业网络中，员工终端频繁收到包含恶意链接的钓鱼邮件，最有效的防护措施是：A.部署邮件网关的SPF/DKIM/DMARC验证B.增加防火墙的端口过滤规则C.定期更新终端操作系统补丁D.启用网络流量的深度包检测（DPI）3.依据《信息安全技术网络安全等级保护基本要求》（GB/T222392019），第三级信息系统的安全通信网络要求中，不属于必须实现的是：A.网络设备支持访问控制列表（ACL）B.关键网络设备冗余部署C.网络边界部署入侵检测系统（IDS）D.重要通信链路采用加密传输4.以下哪种攻击方式利用了操作系统或应用程序的缓冲区溢出漏洞？A.SQL注入B.跨站脚本（XSS）C.栈溢出攻击D.地址解析协议欺骗（ARP欺骗）5.零信任架构（ZeroTrustArchitecture）的核心假设是：A.网络内部完全可信，只需保护边界B.所有访问请求（无论内外）均不可信，需持续验证C.仅对外部用户进行身份认证，内部用户免验证D.依赖单一的防火墙实现整体安全6.某系统日志中出现大量“401Unauthorized”状态码，最可能的原因是：A.目标资源不存在（404错误）B.用户未提供有效认证凭证C.服务器内部错误（500错误）D.请求被防火墙阻断（403错误）7.以下关于数字签名的描述，正确的是：A.数字签名仅需使用发送方的私钥加密B.数字签名的验证需要发送方的公钥C.数字签名用于保证数据的完整性和不可否认性D.数字签名与消息加密是同一过程的两个名称8.在渗透测试中，“信息收集”阶段的主要任务不包括：A.扫描目标网络开放的端口B.分析目标组织的公开招聘信息C.利用社会工程学获取内部员工邮箱D.植入后门程序并获取系统权限9.依据《个人信息保护法》，处理敏感个人信息时，除取得个人单独同意外，还需满足的条件是：A.公开处理规则B.制定并实施严格的保护措施C.向省级网信部门备案D.告知个人处理的必要性及对其权益的影响10.以下哪项属于物联网（IoT）设备特有的安全风险？A.弱口令或默认密码未修改B.固件更新不及时导致漏洞暴露C.设备资源受限，难以部署复杂安全机制D.遭受DDoS攻击导致服务中断11.某企业采用哈希算法存储用户密码，以下哪种哈希方式安全性最高？A.MD5（无盐值）B.SHA1（固定盐值）C.bcrypt（动态盐值+迭代哈希）D.SHA256（无盐值）12.以下关于虚拟专用网络（VPN）的描述，错误的是：A.IPsecVPN通常工作在网络层B.SSLVPN主要用于远程访问场景C.VPN无法防止内部人员的非法访问D.VPN隧道加密可以完全避免中间人攻击13.某数据库系统出现“脏读”现象，最可能是由于未正确实现：A.事务的原子性（Atomicity）B.事务的一致性（Consistency）C.事务的隔离性（Isolation）D.事务的持久性（Durability）14.以下哪种恶意软件通过感染可执行文件进行传播？A.蠕虫（Worm）B.木马（Trojan）C.病毒（Virus）D.勒索软件（Ransomware）15.依据《数据安全法》，重要数据的处理者应当按照规定对其数据处理活动定期开展：A.数据泄露风险评估B.数据安全影响评估C.数据跨境流动备案D.数据分类分级审核16.在云安全防护中，“安全组（SecurityGroup）”的主要作用是：A.监控云服务器的性能指标B.限制云资源的网络访问策略C.加密云存储中的敏感数据D.实现云服务的负载均衡17.以下关于入侵检测系统（IDS）和入侵防御系统（IPS）的区别，正确的是：A.IDS仅检测攻击，IPS可主动阻断攻击B.IDS工作在应用层，IPS工作在网络层C.IDS需要旁路部署，IPS需要串接部署D.IDS基于特征检测，IPS基于行为检测18.某企业部署了基于角色的访问控制（RBAC），其核心是：A.根据用户身份直接分配权限B.根据用户所属角色分配权限C.根据用户的地理位置分配权限D.根据用户的登录时间分配权限19.以下哪种密码学原语用于实现消息的完整性验证？A.对称加密（如AES）B.非对称加密（如RSA）C.哈希函数（如SHA3）D.数字签名（如ECDSA）20.某网络中，攻击者通过伪造合法用户的MAC地址，导致交换机将流量转发至攻击者的设备，这种攻击属于：A.DNS劫持B.ARP欺骗C.SYN洪水攻击D.中间人攻击（MITM）二、填空题（共10题，每题2分，共20分。请将答案填写在横线处）1.常见的抗DDoS攻击技术中，通过将流量分散到多个服务器处理的方法称为__________。2.依据《信息安全技术个人信息安全规范》（GB/T352732020），个人信息的最小必要原则要求处理个人信息的__________、__________、频率等应限于实现处理目的的最小范围。3.公钥基础设施（PKI）的核心组件包括证书颁发机构（CA）、__________和证书存储库。4.缓冲区溢出攻击的本质是向程序分配的内存区域写入超出其容量的数据，覆盖__________或__________，导致程序执行流程被篡改。5.物联网（IoT）设备的安全防护通常需考虑资源受限特性，因此常用__________加密算法（如ChaCha20）替代计算复杂度高的RSA。6.网络安全等级保护中，第三级信息系统的安全建设需满足“一个中心，三重防护”框架，其中“一个中心”指__________。7.数据库安全中，__________技术通过将敏感数据替换为虚构但保持格式一致的数据，实现测试环境中的数据脱敏。8.依据《关键信息基础设施安全保护条例》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行__________次检测评估。9.无线局域网（WLAN）中，WPA3协议相比WPA2增强了安全性，主要体现在支持__________认证（SAE）以抵御离线字典攻击。10.云计算的“共享责任模型”中，云服务提供商（CSP）通常负责__________的安全（如物理服务器、网络设备），而客户负责__________的安全（如应用程序、数据）。三、简答题（共5题，每题8分，共40分。请简明扼要回答）1.简述SSL/TLS协议的作用及握手过程的主要步骤。2.列举三种常见的Web应用安全漏洞，并分别说明其防护措施。3.什么是“零日漏洞（ZerodayVulnerability）”？企业应如何应对零日漏洞威胁？4.简述数据脱敏与数据加密的区别，并举例说明各自的应用场景。5.依据《网络安全法》，网络运营者在个人信息保护方面需履行哪些义务？四、综合题（共1题，20分）某制造企业计划将核心生产管理系统迁移至公有云（如阿里云），请设计一套针对该系统的云安全防护方案，需涵盖以下内容：（1）数据安全防护措施（存储、传输、使用环节）；（2）网络安全防护措施（云内网络、云与本地网络互联）；（3）访问控制措施（身份认证、权限管理）；（4）监控与响应措施（日志审计、事件处置）。答案及解析一、单项选择题1.D（WPA2使用AESCCMP或TKIP，RC4用于WEP/WPA）2.A（钓鱼邮件的核心防护是邮件网关的发件人身份验证）3.C（三级要求部署入侵防御系统（IPS），而非IDS）4.C（缓冲区溢出包括栈溢出和堆溢出）5.B（零信任的核心是“永不信任，持续验证”）6.B（401表示未认证，403表示认证但无权限）7.C（数字签名需发送方私钥签名，接收方公钥验证，保证完整性和不可否认性）8.D（植入后门属于“漏洞利用”阶段）9.B（《个人信息保护法》第29条规定需制定严格保护措施）10.C（IoT设备资源受限，难以运行复杂安全协议是特有风险）11.C（bcrypt通过动态盐值和迭代哈希增强安全性）12.D（VPN隧道加密可降低MITM风险，但无法完全避免配置错误等情况）13.C（隔离性不足会导致脏读、不可重复读等问题）14.C（病毒需要宿主程序，通过感染可执行文件传播）15.B（《数据安全法》第30条规定需开展数据安全影响评估）16.B（安全组用于定义云资源的入站/出站规则）17.A（IDS检测并告警，IPS检测并阻断；IDS旁路，IPS串接）18.B（RBAC的核心是“角色”作为权限分配的中间层）19.C（哈希函数生成消息摘要，用于验证完整性）20.B（ARP欺骗通过伪造MAC地址实施中间人攻击）二、填空题1.流量清洗/负载均衡2.类型、数量3.证书注册机构（RA）/证书撤销列表（CRL）4.栈指针、返回地址（或堆内存、函数指针）5.轻量级/轻量型6.安全管理中心7.数据掩码/数据变形8.一9.安全远程密码（SRE）/SimultaneousAuthenticationofEquals10.基础设施层（IaaS层）、应用及数据层（PaaS/SaaS层）三、简答题1.作用：SSL/TLS是安全传输协议，用于在客户端和服务器之间建立加密通信，保证数据的机密性、完整性和身份认证。握手过程：①客户端发送支持的加密套件和随机数（ClientHello）；②服务器选择加密套件，发送证书和随机数（ServerHello）；③客户端验证证书，生成预主密钥并通过服务器公钥加密发送；④双方基于预主密钥和随机数生成会话密钥；⑤客户端和服务器发送握手完成消息，确认加密通道建立。2.常见漏洞及防护：①SQL注入：用户输入未过滤，导致数据库执行恶意SQL。防护措施：使用预编译语句（PreparedStatement）、输入校验、Web应用防火墙（WAF）。②跨站脚本（XSS）：页面输出未转义，嵌入恶意脚本。防护措施：对用户输入进行HTML转义、使用CSP（内容安全策略）。③文件上传漏洞：未限制上传文件类型或路径，导致执行恶意文件。防护措施：限制文件扩展名、检查文件MIME类型、存储路径限制执行权限。3.零日漏洞：指未被软件厂商发现或修复的漏洞，攻击者可利用其发起未被防御的攻击。应对措施：①建立漏洞情报收集机制，关注CVE、CNVD等平台；②部署入侵检测系统（IDS）和沙箱分析，监测异常行为；③对关键系统实施白名单策略（仅允许信任程序运行）；④与厂商建立快速响应通道，优先获取补丁；⑤定期开展渗透测试，主动发现潜在漏洞。4.区别：数据脱敏是对敏感数据进行变形（如替换、掩码），使其在非生产环境中不可还原真实信息；数据加密是使用密钥对数据进行编码，需密钥解密后恢复原文。场景举例：脱敏：将测试环境中的用户手机号替换为“1385678”，用于开发测试；加密：生产环境中用户银行卡号通过AES256加密存储，仅授权系统使用私钥解密。5.义务：①制定内部安全管理制度和操作规程，确定负责人；②采取技术措施（如加密、访问控制）保护个人信息；③公开收集、使用规则，明示目的、方式和范围；④不得泄露、篡改、毁损收集的个人信息；⑤在发生个人信息泄露时，立即采取补救措施并告知用户；⑥对其工作人员进行安全培训，限制其访问权限。四、综合题云安全防护方案设计（1）数据安全防护：存储环节：采用云服务提供的加密存储（如阿里云OSS服务器端加密），敏感数据（如客户信息、生产配方）使用AES256加密，密钥由企业KMS（密钥管理服务）自主管理；对非结构化数据（如日志）进行分类分级，核心数据标记为“机密”并设置更高访问权限。传输环节：云内服务间通信强制使用TLS1.3加密（禁用TLS1.0/1.1）；云与本地数据中心互联通过IPsecVPN加密，密钥定期轮换（如每季度）；API接口使用HMAC签名验证请求来源。使用环节：应用程序访问数据库时，通过中间件（如数据库代理）进行SQL审计，禁止明文输出敏感字段；测试环境使用数据脱敏工具（如阿里云DataWorks脱敏功能），替换真实姓名、手机号为虚构数据。（2）网络安全防护：云内网络：划分VPC（虚拟私有云）并配置子网（如生产子网、管理子网、DMZ区），子网间通过安全组（SecurityGroup）限制流量（如仅允许管理子网访问生产子网的22/3389端口）；关键服务（如数据库）部署在专有网络（VPC）内，不直接暴露公网IP，通过NAT网关访问互联网。云与本地